introduction-to-patch-management-and-vulnerability-assessment

執筆者：矢ヶ部 謙一 サーバベンダー、ストレージベンダーを経て2020年アクロニス・ジャパン入社。プリセールスSEの部門で主にハイタッチを担当。

1. 脆弱性の情報をいち早く把握し、ワークアラウンドを実施することやパッチを適用することは、様々なセキュリティ製品を構成するのと同じくらい重要かつ効果的
2. 「パッチ管理」では、管理下のマシンに関するパッチ情報を表示し、パッチの手動インストール、スケジュールによる自動インストールが可能
3. 「脆弱性診断」では、管理下のマシンがCVE情報に該当している場合はそれを表示し、その修正パッチのインストールも可能
4. 「パッチ管理」、「脆弱性診断」ともに、Windows OSだけでなく、230以上のサードパーティ業務アプリケーションをカバーしている
5. 「パッチ管理」では、パッチの自動インストールの前にバックアップを取得するように設定できる
6. 「パッチ管理」では、パッチの配布には中継役を設定できる
7. バックアップを使うと、パッチの事前検証環境も簡単に作成できる

※本ブログ記事をご覧いただいた方に向けた「特典」がございます。詳細については記事の最後をご確認ください。  

アクロニスのブログ「脆弱性評価とパッチ管理：思っている以上に重要」 にも書かれている通り、脆弱性の情報をいち早く把握し、ワークアラウンドを実施することやパッチを適用することは様々なセキュリティ製品を構成するのと同じくらい重要でかつ効果的です。管理者は脆弱性の確認、パッチの確認をした後、必要に応じてテスト環境での検証をして、パッチの本番環境への適用を行います。脆弱性の報告は増加傾向にあり、また情報を得てから適用まで長期間放置することはできないため、管理者の負担は増すばかりです。 今回は情報の取得から適用までのサイクルを効率的かつ短縮し、管理者の負担を軽減する「脆弱性診断」機能、「パッチ管理」機能について具体的に何ができるのかを紹介します。

「パッチ管理」では、管理下のマシンのOSや、インストールされているサードパーティ製業務アプリケーションについてリリースされたパッチがあれば、そのパッチ名、重要度、影響のある製品、該当マシン台数などを表示します。さらにそこから各マシンへパッチをインストールすることもできます。

また、パッチの自動インストールも可能です。あらかじめどの製品のどのようなパッチ(カテゴリ、重要度など)がリリースされたら、いつ(曜日や時間帯)、どのようなタイミング(PCの状態)でインストールするのかを事前に設定しておくことができます。OSはもちろん、230以上もの業務アプリケーション(※１)をサポートしています。さらに、パッチの自動適用前にバックアップを取得することも可能です。 エージェントがマシン内のOSのバージョンやアプリケーションを走査するため、自社で使用しているソフトウェアに該当している情報だけを表示してくれることがポイントです。これにより管理者はOSやアプリケーションごとにベンダーの用意したツールでアップデート情報を確認する手間から解放され、管理コンソールだけでほとんどの情報を取得でき、パッチの適用まで管理できるようになります。

※１ パッチ管理、脆弱性診断でサポートされているサードパティアプリケーション一覧 https://kb.acronis.com/content/62853

図１：パッチ一覧画面

① パッチの名称。この行をクリックすると、内容の説明と、このパッチのインストール画面へのリンクが表示される。 ② 重要度。パッチの提供ベンダーが決めた情報。パッチの自動適用の設定では、対象製品、パッチのカテゴリとこの重要度を組み合わせて適用ルールを作成する。 ③ 該当マシン数。この数字をクリックすると、該当マシン名が表示される。

図２：パッチの自動適用

④ Microsoft製品うち、どの製品について自動適用をするか。「全てのアップデート」、「セキュリティアップデートと重要なアップデートのみ」、「特定の製品のアップデート」の3つから選択。現在305製品(バージョン違い含む)に対応。 ⑤ Windowsサードパーティ製品のうち、どの製品について自動適用をするか。「メジャーアップデートのみ」、「マイナーアップデートのみ」、「特定の製品のアップデートのみ」の3つから選択。現在37製品に対応。 ⑥ いつパッチを適用するか。日時以外に、ユーザーログイン時、ログオフ時、システムの起動時、システムのシャットダウン時から選択可能。またそれぞれの設定における詳細オプションも用意されている。 ⑦ パッチ適用前のバックアップをするかどうか。バックアップの設定側でも対象マシンがバックアップ対象に含まれている必要がある。

「脆弱性診断」では、管理下のマシンがCVE(※２)に該当しているかどうかを確認し、該当している場合はそのCVE ID、影響のある製品、該当しているマシン台数、重要度、パッチへのリンクなどを画面に表示します。「パッチ管理」と同様に、自社のマシンで該当している情報だけが表示されるため、CVEのサイトで情報を探す必要がありません。また、修正パッチをそこからインストールすることも可能です。

※２ CVE：個別製品中の脆弱性を、米国政府の支援を受けた非営利団体のMITRE社が採番し管理しているデータベースです。

図３：脆弱性診断の画面

⑧ CVE ID。この行をクリックすると、CVEサイトへのリンク、このCVEに対するパッチのインストール画面へのリンクが表示される。 ⑨ 該当マシン数。この数字をクリックすると、該当マシン名が表示される。 ⑩ パッチ数。この数字をクリックすると、インストールすべきパッチのリストが表示される。

Acronis Cyber Protect 15 / Acronis Cyber Protect Cloudでは、エージェントがインストールされているマシンであればどれでもパッチ配布の中継役に設定できます。マシンを選んで「このエージェントを使用してパッチとアップデートをダウンロードし、配布します」という項目にチェックを入れるだけで設定完了です。

WSUSのようにどの製品のパッチを扱うのか選ぶ必要はありません。それらの情報は管理サーバが制御します。また、サーバOSでなくとも、デスクトップOS(Windows 10)であっても中継役に設定可能です。

パッチはリリースされてからできるだけ早く適用したほうが安全です。しかしながら、パッチによる弊害の可能性もあるため、事前にパッチを検証する企業も多いと思います。事前検証がすぐに実施できればよいのですが、常設の検証環境が無く、速やかな検証が困難な可能性も考えられます。そのような場合は「検証なしにパッチを適用してシステムが停止した場合の被害」と、「パッチ適用までに脆弱性をついた攻撃にあった場合の被害」とでどちらが得か考えるしかありません。

ここで役立つのが、アクロニスが得意な「全体バックアップ」とリストア機能、「インスタントリストア(Instant Restore)」、「VMに変換」機能です。

「全体バックアップ」とは、稼働しているシステムを起動可能な状態で丸ごと取得するバックアップ方式です。バックアップ対象が物理マシンでも仮想マシンでも利用できます。

また、アクロニスでは取得したバックアップイメージを別のハードウェアにリストアすることや、仮想イメージに変換することが可能です(※３)。リストア先にデバイスの違いがあっても「ユニバーサルリストア(Universal Restore)」機能によってOSの重要なデバイスドライバ（ストレージ コントローラ、マザーボード、チップセットなど）を検索しインストールできます。

「インスタントリストア」とは、取得した全体バックアップイメージをHyper Visor上で起動させる機能です。VMとしてデプロイするわけではないためホスト側のディスク消費は起動後の変更分のみです。バックアップイメージを起動させているため性能は期待できませんが、内部データの取り出しや、小規模なパッチ適用などの検証であれば対応できます。起動したまま完全にデプロイしてVMに変換することも可能です。(※４)

「VMに変換」は、Acronis Cyber Protect 15(オンプレミスの製品)のみの機能です。全体バックアップのイメージを仮想マシンに変換し、指定されたHyper Visorにデプロイします。バックアップスケジュールに連動して変換させることもできるため、普段のスケジュールバックアップと併せて実行しておけば、検証環境としてだけでなく、緊急用のスタンバイシステムとしても利用可能です。バックアップが増分/差分で取得されるのと同じで、VMへの変換も変更分だけが毎回更新されます。

※３ 「VMへ変換」機能はオンプレミス製品(Acronis Cyber Protect 15、Acronis Cyber Backup 15)で利用できます。クラウドサービス(Acronis Cyber Protect Cloud、Acronis Cyber Backup Cloud)の場合は、「インスタントリストア」でバックアップイメージを仮想マシンとして起動させた後、「確定処理」でVMに変換できます。

※４ これを「確定処理」といいます。

今回紹介した「パッチ管理」と「脆弱性診断」はOSごとに対応状況が異なります。

残念ながらWindows以外は順次サポートを広げているところですので、最新の情報は販売代理店、サービスプロバイダー、またはアクロニスの担当者までご確認ください。

図４：OS別サポート状況

今回紹介した機能はアクロニス・アカウントを作成すれば30日間利用可能です。アクロニスのウェブサイトから「今すぐ試用」へ進んでください。

また、Acronis Cyber Protect 15 / Acronis Cyber Protect Cloudのどのライセンスに含まれる機能なのかについては、販売パートナーやアクロニスまでお問合せください。

本ブログ記事をお読みいただいた読者の方を9月に開催される「Acronis Cloud Tech Foundation、Acronis Cloud Tech Associate 認定試験対策トレーニング- 目指せ！認定Acronis #CyberFit Cloud Tech Associate!」（通常価格12万円）に無償でご招待いたします。

本トレーニングは、Acronis Cyber Cloudの初級～中級レベルの技術者向けコースとなり、マネージドサービスプロバイダー（MSP）、サービスプロバイダー（SP）、クラウドサービスプロバイダー（CSP）の技術担当者向けに提供されるものです。Acronis Cyber Cloudサービスの基本操作、テナントとユーザーの管理方法、Acronis Cyber Disaster Recovery Cloudサービスの計画作成、サービスの実行方法について学習いただけます。

また、コース受講後は、Acronis Cloud Tech Foundation、Acronis Cloud Tech Associate Disaster Recovery、Acronis Cloud Tech Associate Protect、Acronis Cloud Tech Associate Backupの4つの資格認定書を取得できるオンライン認定試験も無償で受験いただけます。この資格認定書は、アクロニスのパートナーシップの評価・維持への必須条件となっており、そのカテゴリーに応じて受けられるサポートとサービスが異なります。

日程や詳細についてお知りになりたい方、お申し込みをされたい方はmedia_jp@acronis.comまでお問い合わせください。